Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
Manajemen Resiko | Pertemuan 2
Suryo Widiantoro, ST, MMSI, M.Com(IS)
Sub-CPMK 2 Mahasiswa mampu menggambarkan pembuatan
keputusan dalam manajemen resiko (C2)
1) Pembuatan keputusan
2) Komponen kunci resiko
3) Komunikasi resiko
Keputusan untuk mengelola resiko TI
adalah tanggung jawab perusahaan →
keputusan harus obyektif dan
berdasarkan pemahaman akan resiko
Keputusan akan berdampak pada
bisnis dan tujuan yang ingin dicapai
perusahaan
Contoh keputusan manajemen resiko terkait TI:
Persetujuan anggaran untuk merancang system
Persetujuan penggunaan infrastruktur system informasi
Keputusan harus diambil oleh orang yang tepat di waktu yang tepat, dengan saran dan dukungan yang tepat
Perlu memiliki pengetahuan dan keterampilan bisnis, teknologi, sekuriti untuk menghasilkan keputusan yang obyektif
Mengambil resiko adalah bagian dari melakukan bisnis untuk
menciptakan peluang dan membantu mencapai tujuan
bisnis → perusahaan harus waspada terhadap resiko yang
diambil untuk mencapai tujuannya
Untuk itu perlu konteks sebagai dasar melakukan manajemen
resiko dan penilaian resiko, misalnya
Apa yang ingin dicapai perusahaan?
Apa saja aset bisnis yang terlibat?
Struktur seperti apa yang mendukung
pengambilan keputusan manajemen resiko?
Penilaian resiko memiliki input dan output → resiko dianggap
sebagai konsekuensi dari input→ input harus dipahami dan
bermakna dalam konteks bisnis serta apa yang ingin dicapai
Apa saja inputnya..?
• Ancaman (threat)
• Kerentanan (vulnerability)
• Dampak (impact)Input utama
• Kemungkinan (likelihood)
• Nilai aset (asset value)
Input tambahan
1# Ancaman
Ancaman menggambarkan sumber dari resiko yang sedang
terjadi
Contoh ancaman terhadap sistem dan layanan:
Orang yang mau menghancurkan bisnis melalui
teknologi
Bahaya seperti bencana alam dan kecelakaan
Catatan:
Beberapa ancaman tidak dapat dikendalikan perusahaan → harus
ada prioritas resiko mana yang penting dan dapat dikendalikan
2# Kerentanan
Kerentanan adalah kelemahan yang dapat dimanfaatkan oleh ancaman untuk memberikan dampak
Sistem atau layanan dapat dijebol melalui pemanfaatan kerentanan pada orang, tempat, proses, atau teknologi
Saat menilai resiko, perusahaan harus memastikan bahwa mereka memahami dimana dan bagaimana sistem dan layanan terdapat kerentananPerusahaan mungkin tidak bisa mengendalikan ancaman, tapi perusahaan bisa mengurangi kerentanan
3# Dampak
Dampak menggambarkan konsekuensi dari resiko yang sedang terjadi
Untuk mengevaluasi resiko dan menyusun prioritas → maka dampak harus menentukan efek negatif dari terjadinya resiko, misalnya:
Kehilangan dalam hal finansial dan reputasi
Tujuan bisnis tidak tercapai
Perusahaan dapat berusaha mengendalikan dampak negatif dengan membuat perencanaan sebelum resiko terjadi
4# Kemungkinan
Kemungkinan adalah estimasi apakah ancaman akan terjadi atau tidak
Ini bisa dihitung dengan memeriksa catatan riwayat peristiwa kebobolan untuk memperkirakan bagaimana sejarah akan terulang
Catatan:
Pengukuran kejadian lampau tidak harus menjadi penentu apa yang akan terjadi di masa depan
5# Nilai aset
Nilai aset digunakan untuk menyediakan pemahaman terhadap sistem, layanan, informasi atau aset lain apa yang menjadi perhatian utama perusahaan
Pemahaman ini akan memberikan perusahaan pandangan apa yang harus benar2 dilindungi
Penilaian aset adalah kunci pertimbangan saat menentukan dampak input untuk tujuan penilaian resiko
Output harus:
Memiliki makna
Dapat dipahami
Realistis
Dalam konteks
Sehingga dapat digunakan untuk keputusan manajemen resiko
INPUT
• Ancaman
• Kerentanan
• Dampak
• Kemungkinan
• Nilai aset
PENILAIAN
RESIKO
OUTPUT
• Teknis
• Non-teknis
Input harus selalu dipantau dan diperbarui setiap 6 bulan (bila
diperlukan) atau saat perubahan terjadi pada ancaman atau
lingkungan teknologi → kerentanan teknologi diketahui, ada
penyerang baru yang mengincar perusahaan
Diperlukan komunikasi yang konsisten sehingga setiap
perubahan dapat segera diketahui untuk dilakukan
penilaian resiko kembali
UNTUK ITU
Hal-hal yang harus dapat dikomunikasikan antara lain:
Ancaman dalam konteks penilaian resiko yang telah
dilakukan
Kesediaan perusahaan untuk menerima resiko
Status resiko yang sedang dikendalikan
Pengukuran pengendalian yang diambil
Perusahaan harus membuat keputusan yang obyektif
mengenai apa yang perlu dilakukan untuk mengelola resiko
yang telah teridentifikasi → ini harus berdasarkan pemahaman
yang jelas terhadap resiko
Keputusan harus didukung oleh
informasi, para ahli dibidangnya,
dan bukti-bukti
Contoh informasi dan bukti untuk mendukung keputusan
manajemen resiko:
Pernyataan perusahaan mengenai resiko yang diambil dan
tidak diambil untuk mencapai tujuannya
Output penilaian resiko dalam konteks tujuan perusahaan
Biaya yang diperlukan untuk mengelola resiko
Bukti bahwa keamanan telah diterapkan untuk mengelola
resiko yang teridentifikasi
Status resiko yang telah dikelola/dikendalikan
Namun demikian tidak ada satupun sistem atau layanan yang benar2 “bebas resiko” atau 100% aman → selalu ada resiko yang tertinggal setelah tindakan manajemen resiko
Perusahaan sebaiknya memahami dan mengomunikasikan:
Resiko2 apa yang sedang dikelola secara aktif?
Bagaimana cara mereka dikelola?
Apakah perusahaan yakin tindakan yang dilakukan sudah efektif?
Apa ada resiko yang tidak dikelola sama sekali?
OLEH SEBAB ITU